Tutkimuslaitosseminaari Rakennushankkeen suojaustason vaikutus hankkeeseen Case ST III Luottamuksellinen tasoisen hankkeen käynnistämis- ja suunnitteluvaihe. Tu o m m e t i l a l l e r a t k a i s u t
Tietoturvallisuuden lainsäädäntö ja ohjeet JulkL (621/99) (Laki viranomaisen toiminnan julkisuudesta) Vna 681/2010 (Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa ) VAHTI-ohje 2/2010 (Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta) VAHTI 2/2013 ohje (täydentää VAHTI 2/2010 ohjeen fyysisen turvallisuuden Vaatimusmäärittelyjä) Kansallinen turvallisuusauditointi- kriteeristö (KATAKRI II) Tiedon omistajan täydentävät ohjeet 2
Kun hankkeessa on tietoa jonka suojaustaso on ST III tai korkeampi - perustyöympäristö ei riitä Suojattujen asiakirjojen käsittely ja säilyttäminen asettaa vaatimukset fyysiselle työympäristölle (mm. tilojen riittävä suojaustaso) Fyysisen työympäristön kiinteistönhoitotehtäviin tulee lisävaatimuksia (mm. ao. toimijat tulee myös turvaselvittää) Tietoverkkoon ja turvallisuuteen tulee lisävaatimuksia (esim. erilliset turvakoneet ja turvatietoverkko ) Etätyön työympäristölle samat vaatimukset Fyysisen työympäristön naapuritkin huomioidaan 3
Kun hankkeessa on tietoa jonka suojaustaso on ST III tai korkeampi perustyöympäristö ei riitä Tiedon sähköiseen jakamiseen tulee lisävaatimuksia (mm. tiedon kryptaus, tietoa ei voi säilyttää normaaleissa projektipankeissa, eikä tulostaa tai kopioida normaalisti) Asioiden käsittely viranomaisten kanssa vaikeutuu Tiedon suojaus vaikuttaa koko hankkeeseen aivan alusta hankkeen valmistumiseen ja ylläpitoon saakka 4
Hallittu kokonaisuus Hankkeen alussa on tehtävä hyviä päätöksiä myös tiedon suojauksen tavan suhteen Hyvän päätöksen aikaan saaminen vaatii kattavat ennakkoselvitykset ja hyvän päätösesityksen Tiedon omistaja tekee päätöksen! 5
Tiedon suojauksen suunnittelu ennen hankesuunnittelua (-> TURVAOHJE) Laadittava Turvaohje Hankkeen suunnittelua ja toteutusta varten, jossa määritellään: Mitkä tiedot salataan ja millä tavalla (esim. ST IV, ST III), mahdollisimman tarkka rajaus tarpeeton salaminen aiheuttaa aina lisäkustannuksia Kuvataan vaatimukset hankkeeseen osallistuvien yritysten toimitila- ja tietoturvallisuuden osalta, otetaan kantaa myös tilojen ylläpidon ja vartioinnin järjestelyihin Esitetään ohjeet turvaselvitysten ja turvallisuussopimusten laatimiselle Esitetään vaatimus mahdolliselle toimitilojen ja tietoverkon auditoinnille 6
Tiedon suojauksen suunnittelu ennen hankesuunnittelua (-> TURVAOHJE) Tiedon suojauksen vaatimukset tulee määritellä ja aukikirjoittaa erikseen: Rakennuttajan ja käyttäjän hankintatoimeen (konsulttien ja urakoiden hankinnat) Suunnittelutyöhön (työn suoritustapa) Viranomaisyhteistyöhön Työmaatoimintaan; mm. vartiointi, vyöhykkeet, ST III tietojen käsittely työmaalla, aitaaminen, tilaturvallisuus Työmaan pääurakoitsijan suorittamaan alihankintatoimeen Kiinteistön ylläpitovaiheeseen 7
Tiedon suojauksen vaikutukset hankesuunnittelun ja hankkeen aikatauluun Hankesuunnittelun aikataulutus ja aloitusvalmiuksien varmistus: Turvaohjeen laadinta vie aikaa Ellei koko hanke ole ST III luokiteltu, käytetään julkista hankintaa Konsultti- ja urakoitsijakilpailutuksessa mukana turvaselvitysvaiheet Konsultti- ja urakoitsijavalintojen ehtona turvaselvitysten läpäiseminen Käytännön toiminnan perustaminen vie myös aikaa (auditoinnit?) 8
Hankesuunnittelussa huomioitavaa aikataulu ST luotellun tiedon hankkeissa Hankkeen jokaiseen eri vaiheeseen on varattava aikaa ns. normaalihanketta enemmän 9
Hankesuunnittelussa huomioitavaa kustannukset Hankkeen kustannusarvioon ja budjetointiin tulee kustannuslisäyksiä ja riskejä normaaliin hankkeeseen nähden, mm: Normaalia työläämpi hankkeen tietohallintatapa kaikille toimijoille Rajaa kilpailua (kaikki toimijat eivät pysty toimimaan ST III mukaisesti, voi vaikuttaa myös tarjoushalukkuuteen kun on työläs hankintavaihe turvaselvityksineen) Turvaselvitykset (resurssit, maksut) Työmaalle tulee vartija joka valvoo että työmaalle pääsee vain oikeutetut henkilöt Työmaalle tulee ST III-luokan tiloja, joissa työskentely ohjeistetaan + työmaan aitaaminen kv-portein yms. 10
Hankesuunnitteluun ST -luokitellun tiedon hallinnasta aiheutuvat peruskysymykset Mikä on oikea ja riittävä hankeaikataulu? Mikä on oikea ja riittävä lisäbudjetointi hankkeelle? Miten ST luokan aikaansaama kustannusten nousuriski voidaan välttää? 11
Kiitos! Tu o m m e t i l a l l e r a t k a i s u t 12